Пара компьютеров...номер 2
Здравствуйте еще раз.
Еще один компьютер с похожими на http://virusinfo.info/showthread.php?t=53425
симптомами и в той же локалке
плюсом падает каспер
и не получается прикрепить логи(по нажатию кнопки "Управление вложениями ничего не происходит")
логи через другой комп:
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:08.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(16); BC_QrFile('C:\WINDOWS\system32\drivers\aliserv.sys'); SetAVZPMStatus(True); QuarantineFile('C:\WINDOWS\Temp\rdl11.tmp.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\msauc.exe',''); DeleteService('msscenter'); QuarantineFile('C:\WINDOWS\system32\msscntr32.exe',''); QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll',''); QuarantineFile('C:\WINDOWS\system32\tapi.nfo',''); DeleteFile('C:\WINDOWS\system32\tapi.nfo'); DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll'); DeleteFile('C:\WINDOWS\system32\msscntr32.exe'); DeleteFile('C:\WINDOWS\msauc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass driver'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\Temp\rdl11.tmp.exe'); DeleteFile('C:\WINDOWS\Temp\rdl2B.tmp.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0YWXSB6D\mss7[2].exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0YWXSB6D\mss7[1].exe'); QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys',''); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys'); BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Пофиксте в HijackThis следующие строки:
После перезагрузки сделайте новый лог HijackThis.Код:O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe O4 - HKLM\..\Run: [WinDLL (service.exe)] service.exe O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O20 - Winlogon Notify: mckwave - C:\WINDOWS\
Установите Adobe Acrobat Reader 9.1.3 или удалите старый.
Последний раз редактировалось PavelA; 02.09.2009 в 13:24.
карантин: 090902_134114_virus_4a9e3dba83496.zip
из перечисленных строчек в "Пофиксите" были не все
и новые логи:
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:08.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin ClearQuarantine; SetAVZGuardStatus(True); QuarantineFile('\systemroot\system32\drivers\aliserv.sys',''); DeleteFile('\systemroot\system32\drivers\aliserv.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
карантин закачал
вот новый лог:
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:08.
Чисто.
спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\system\webcheck.dll - Trojan.Win32.Pakes.npg ( DrWEB: Trojan.PWS.Stealer.180, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\0ywxsb6d\mss7[1].exe - Trojan-Downloader.Win32.Agent.clko ( DrWEB: Trojan.DownLoad.40403, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\0ywxsb6d\mss7[2].exe - Trojan-Downloader.Win32.Agent.clko ( DrWEB: Trojan.DownLoad.40403, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( NOD32: Win32/Patched.FR virus, AVAST4: Win32:Patched-KP [Trj] )
- c:\windows\system32\tapi.nfo - Trojan-Downloader.Win32.Small.alzl ( DrWEB: Trojan.DownLoad.43149, NOD32: Win32/Oficla.E trojan, AVAST4: Win32:Small-NAD [Trj] )
- c:\windows\temp\rdl11.tmp.exe - Trojan-Downloader.Win32.Agent.clko ( DrWEB: Trojan.DownLoad.40403, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\temp\rdl2b.tmp.exe - Trojan-Downloader.Win32.Agent.clko ( DrWEB: Trojan.DownLoad.40403, AVAST4: Win32:Trojan-gen {Other} )
Уважаемый(ая) 17_sqrt_2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
